Veiledning i administrativ kryptosikkerhet - NSM
Veiledning i administrativ kryptosikkerhet - NSM
Veiledning i administrativ kryptosikkerhet - NSM
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>NSM</strong> 2007-04-19<br />
UGRADERT<br />
Lokaliteter hvor det utføres administrasjon av kryptonøkler og drift av<br />
kryptoutstyr skal være fysisk sikret for den høyeste sikkerhetsgrad<br />
kryptonøklene har og minst som for KONFIDENSIELT.<br />
Virksomhet som ikke er forvaltningsorgan og skal produsere kryptoutstyr hvor<br />
kryptoalgoritmer til NATO eller NSK inngår, skal på forhånd være<br />
leverandørklarert for HEMMELIG eller høyere.<br />
Hva et forvaltningsorgan i medhold av Sikkerhetsloven er, går frem av Sikkerhetslovens § 2.<br />
Følgende virksomheter kan tilby kryptoutstyr godkjent av <strong>NSM</strong>:<br />
- <strong>NSM</strong><br />
- ERGO Group<br />
- Kongsberg Defence Aerospace (KDA)<br />
- Thales Communications Norway<br />
3.6 Til § 7-6 Plikt til å etablere <strong>kryptosikkerhet</strong>sorganisasjon<br />
Virksomhet som besitter kryptomateriell skal etablere en<br />
<strong>kryptosikkerhet</strong>sorganisasjon med <strong>kryptosikkerhet</strong>sleder og kryptoforvalter<br />
med stedfortredere, og etablere ordning for henting og levering av<br />
kryptomateriell med kurerpost.<br />
Det skal etableres en hensiktsmessig kurertjeneste. Innenlands må det opprettes et samarbeid mot<br />
Forsvarets kurertjeneste (FOKS) tlf 23 09 89 70/89 81 og for utlandet med Utenriksdepartementet<br />
(UD) tlf 22 24 30 58 eller mot FOKS (NATO).<br />
Virksomheten må selv ta initiativ for å etablere hensiktsmessige distribusjonskanaler.<br />
Kryptosikkerhetspersonellet skal være faglig kvalifisert, herunder<br />
kryptokvalifisert, ha nødvendig myndighet i virksomheten og kunne ivareta<br />
funksjonen i minst ett år. Personellet skal ikke pålegges andre oppgaver i den<br />
utstrekning det fratar dem muligheten til å ivareta funksjonen i samsvar med<br />
gjeldende sikkerhetsbestemmelser. Bare personell som har vært fast ansatt i<br />
virksomheten i minst ett år kan utpekes til <strong>kryptosikkerhet</strong>sleder eller<br />
kryptoforvalter, med mindre <strong>NSM</strong> i det enkelte tilfelle samtykker i annet.<br />
Med faglig kvalifisert menes også nødvendige ferdigheter i betjening av virksomhetens kryptoutstyr.<br />
Virksomheten er selv ansvarlig for å gi den enkelte opplæring i bruk av kryptoutstyret. Forsvarets<br />
skoler arrangerer kurs på de fleste utstyrstyper, ref vedlegg.<br />
3.7 Til § 7-7 Virksomhetens leder<br />
Virksomhetens leder er ansvarlig for at sikkerhetsbestemmelsene for<br />
kryptotjenesten blir fulgt i egen virksomhet, herunder:<br />
1. Skriftlig utpeke <strong>kryptosikkerhet</strong>sleder og kryptoforvalter med stedfortredere.<br />
2. Minimum en gang i året kontrollere utførelsen av <strong>kryptosikkerhet</strong>stjenesten.<br />
3. Iverksette nødvendige tiltak for å redusere skadevirkning og rapportere til overordnet virksomhet<br />
ved sikkerhetsbrudd, kompromittering, uautorisert endring eller utilgjengelighet av kryptoutstyr<br />
eller sikkerhetsgradert informasjon.<br />
Side 8 av 28<br />
UGRADERT